苹果近期在CA/B论坛提出了一项重大提议,旨在进一步加强网络安全。该提议建议将SSL/TLS证书的有效期限从当前的较长周期大幅缩减。
经过激烈的讨论与投票,CA/B论坛的服务器证书工作组最终通过了SC-081v3提案。根据这一决定,SSL/TLS证书的有效期将从原先的398天大幅降至47天,同时,SAN(主题备用名称)数据重用周期也被缩短至10天。
SSL/TLS证书作为保障网站安全的关键机制,通过加密用户与服务器之间的数据传输,确保信息的保密性和完整性。在此之前,这类证书的最长有效期曾达到8年,但经过多次政策调整,有效期已缩短至398天。企业和开发者需在此期限内更新他们的数字证书,以维持网站的安全性。
苹果提出缩短证书有效期的理由十分明确:较短的周期意味着即使证书不慎泄露,其被恶意利用的时间窗口也将大幅缩短,从而降低了安全风险。
在投票过程中,证书颁发机构(CA)表现出广泛的支持,以25票赞成、0票反对、5票弃权的结果通过了该提案。同时,证书消费者群体,包括苹果、谷歌、微软和Mozilla等主要浏览器开发商,也一致表达了支持,投票结果为4票赞成、0票反对、0票弃权。
随着提案的正式通过,接下来将进入知识产权审查阶段。为确保平稳过渡,该措施的实施将分阶段进行,具体安排如下:
在2026年3月14日之前,证书的有效期仍可延长至398天;至2027年3月14日,最长有效期将缩短至200天;再到2028年3月14日,将进一步缩短至100天;最终,从2028年3月15日起,所有SSL/TLS证书的最长有效期将不得超过47天。
然而,这一变化在CA/B论坛上引发了一些系统管理员的不满。他们担忧,频繁更新证书将给日常工作带来额外的负担和复杂性。
尽管如此,这一改革措施被视为加强网络安全、减少潜在安全威胁的重要一步。随着实施日期的临近,各行业将需要调整其证书管理流程,以适应这一新的规定。
